一、靶机信息

Description

找到user.txt&root.txt文件，并提交flag

下载地址：链接：https://pan.baidu.com/s/1m5gul-HOmYuEkVekSo0aug 提取码：dmzo

二、环境搭建

将下载好的ova文件使用VirtualBox打开

配置网卡信息

根据自己的需求配置对应的模式

保存信息即可

三、解题过程

3.1 信息收集

靶机地址为10.10.10.2

对10.10.10.2进行端口及服务探测

有ssh和web服务，首先访问web服务下的robots.txt

3.2 web渗透

逐一访问以上目录

有利用价值的目录分别为

/secret.txt

/internal.php

/user.txt

    根据internal.php页面的提示信息，我们需要绑定一个内网的MAC地址为00:00:00:00:00:a?才可以读取我们的密码。

    下面对某一台内网主机进行MAC地址的绑定

    eth1为我们桥接模式获取的IP地址，所以我们需要将eth1网卡的MAC地址进行更换。

ifconfig eth1 downifconfig eth1 hw ether 00:00:00:00:00:afifconfig eth1 upservice networking restartifconfig

    此时我们将eth1网卡的MAC地址绑定为00:00:00:00:00:aa，发现还是不能访问/internal.php的内容

继续更换MAC地址，最终更换到00:00:00:00:00:af时，可以访问/internal.php页面下的文件并显示相关内容

此时绑定好MAC地址访问页面时，出现Good!!!!!

审查元素发现了password为Zurviv0r1

现在密码获取到了

根据之前的信息收集，发现22端口开启，目前密码有了，下一步寻找账号

/user.txt下的loco很像账号

使用xshell进行ssh登录

尝试了很多次，都登录不上去

回过头继续收集之前的信息，尝试所有可能是用户名的单词

最终账号为bro，密码为Zurviv0r1，成功连接ssh

ls查看到user.txt

cat user.txt

下一步还需要找root.txt，先需要进行提权操作

3.3 提权

/usr/sbin/sudo -l/usr/bin/task 不需要密码

在网上找到task命令的提权内容

https://gtfobins.github.io/

使用/usr/sbin/sudo task execute /bin/sh命令进行提权操作

cd /rootlscat root.txt

最终获得root.txt文件中的内容。

原文始发于微信公众号（星海安全实验室）：记一次有趣的提权